OpenPrinting: vulnerabilidad detectada en CUPS (AL01/240927/CSIRT-ITA)

Síntesis

4 vulnerabilidades de seguridad encontradas en OpenPrinting Common Unix Printing System (CUPS), un sistema de gestión de impresión de código abierto integrado en sistemas operativos similares a Unix. Estas vulnerabilidades, si se explotan juntas, podrían permitir la ejecución remota de comandos arbitrarios en los sistemas afectados.

Notas: Hay una prueba de concepto (PoC) disponible en línea para explotar vulnerabilidades.

Riesgo

Impacto estimado de la vulnerabilidad en la comunidad de referencia: ALTO/NARANJA (74,48/100)¹.

Tipología

• Remote Code Execution
• Spoofing

Descripción e impactos potenciales

CUPS es una utilidad compuesta por varios módulos que gestionan la cola de impresión, la conversión de datos y el envío de datos a la impresora; utiliza el Protocolo de impresión de Internet (IPP) para administrar sus operaciones e incluye una interfaz web para administrar y configurar impresoras.

Un investigador de seguridad publicó recientemente un informe detallado que describe cuatro vulnerabilidades que podrían conducir a la ejecución remota de código arbitrario en sistemas tipo Unix, si el demonio explorado por cups está activo y escuchando en el puerto UDP 631, configuración que normalmente no está habilitada de forma predeterminada. Este demonio permite, por defecto, conexiones remotas desde cualquier dispositivo de la red local para facilitar la posible creación de una nueva impresora compartida.

En detalle, se destacó la posibilidad de utilizar solicitudes debidamente preparadas a través del protocolo Internet Printing Protocol (IPP) hacia el servidor CUPS para crear un controlador de impresora PPD (PostScript Printer Description) que contenga código ejecutable. Esta operación podría permitir la instalación de una impresora maliciosa capaz de ejecutar comandos en el dispositivo vulnerable.

Para más información recomendamos consultar el enlace al análisis, disponible en la sección de Referencias.

Productos y versiones afectados

• cups-browsed, versión 2.0.1 y anteriores
• libcupsfilters, versión 2.1b1 y anteriores
• libppd, versión 2.1b1 y anteriores
• cups-filters, versión 2.0.1 y anteriores

Acciones de mitigación

Mientras espera el lanzamiento de parches de seguridad específicos para su distribución tipo Unix, se recomienda evaluar la implementación de las siguientes mitigaciones:

1. Compruebe si el demonio se está ejecutando:

sudo systemctl status cups-browsed

2. Deshabilite el demonio vulnerable:

sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed

3. Actualice los paquetes CUPS siempre que sea posible

Alternativamente, bloquee todo el tráfico al puerto UDP 631 y posiblemente todo el tráfico DNS-SD.

Identificadores únicos de vulnerabilidad

CVE-2024-47076

CVE-2024-47175

CVE-2024-47176

CVE-2024-47177

Referencias

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I

https://ubuntu.com/security/notices/USN-7042-1

https://security-tracker.debian.org/tracker/CVE-2024-47176

¹Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.